Спустя 2 минуты, 38 секунд (17.06.2011 - 17:51) inpost написал(а):
Brajt
Открой код страницы, посмотри, может там скрипт выложили.
Открой код страницы, посмотри, может там скрипт выложили.
Спустя 7 минут, 27 секунд (17.06.2011 - 17:58) Brajt написал(а):
сообщения выводится из базы данных, туда добавлено естесственно через форму добавления сообщений. с кодом все нормально...
Спустя 5 минут, 23 секунды (17.06.2011 - 18:04) inpost написал(а):
Brajt
Ты хочешь сказать, что они добавили в таком виде, а не <script>!S!WCRTESTINPUT000001!E!</script> ?
Ты хочешь сказать, что они добавили в таком виде, а не <script>!S!WCRTESTINPUT000001!E!</script> ?
Спустя 2 минуты, 6 секунд (17.06.2011 - 18:06) Brajt написал(а):
!S!WCRTESTINPUT000001!E! - в базе лежат просто эти сообщения, <script></script> - а этого нигде нету
Спустя 10 минут, 21 секунда (17.06.2011 - 18:16) Brajt написал(а):
так что это может быть?? я переживаю...
Спустя 1 час, 1 минута, 4 секунды (17.06.2011 - 19:17) alex12060 написал(а):
Это что-то типа XSS
не сцы, все нормально
не сцы, все нормально
Спустя 53 минуты, 58 секунд (17.06.2011 - 20:11) Brajt написал(а):
попробовал сам только что добавить сообщение <script>!S!WCRTESTINPUT000001!E!</script>, сообщение добавилось, на экране его не видно, но в исходном коде страницы оно есть. я так понял, это не есть хорошо? тег <script> пропускать нельзя? если да, может еще что-нибудь подобное нельзя пропускать при добавлении в БД?
Спустя 5 минут, 36 секунд (17.06.2011 - 20:17) inpost написал(а):
Brajt
Можно сказать, тебя пытались поломать, а может даже поломали. В любом случае, если проходит <script> значит точно можно поломать! Хочешь увидеть как ломают, дай ссылку тут
Вообщем, надо защищаться от входящий данных.
Можно сказать, тебя пытались поломать, а может даже поломали. В любом случае, если проходит <script> значит точно можно поломать! Хочешь увидеть как ломают, дай ссылку тут
Вообщем, надо защищаться от входящий данных.
Спустя 9 минут, 27 секунд (17.06.2011 - 20:26) Brajt написал(а):
inpost, ссылку не дам)) при отправлении данных в базу, пропускаю их через mysql_real_escape_string. понял надо вырезать тег <script>, что еще, подскажи)
Спустя 59 минут, 13 секунд (17.06.2011 - 21:26) inpost написал(а):
Brajt
его надо фильтровать не при попадании в БД, а при выводе из БД! htmlspecialchars
его надо фильтровать не при попадании в БД, а при выводе из БД! htmlspecialchars
Спустя 26 минут, 28 секунд (17.06.2011 - 21:52) Brajt написал(а):
htmlspecialchars добавил, спасибо! только теперь где должен быть перенос строки, выводится на экран тег <br />, как это можно исправить? в инфе о htmlspecialchars такого не вижу... и еще вопрос появился, выводить из бд лучше абсолютно все данные через htmlspecialchars или только те которые добавил пользователь?
Спустя 2 часа, 25 минут, 9 секунд (18.06.2011 - 00:17) Brajt написал(а):
с тегами переноса разобрался. но появился еще вопрос, при взломе этим способом, что может сделать этот негодяй?
Спустя 9 минут, 53 секунды (18.06.2011 - 00:27) Andrey65 написал(а):
Смени пароль админки, сделай BackUp сайта и БД, удали запись и спи спокойно!
Спустя 17 минут, 28 секунд (18.06.2011 - 00:45) Brajt написал(а):
Andrey65, записи удалил, админку удалил пока что, доступ по ip запретил ему, скорее всего после этого до сайта он так и не добрался, т.к. были массовые запросы страниц сайта с его стороны и после запрета доступа по ip это все прекратилось.